Det nye personvernet
Denne kronikken sto på trykk i Dagens Næringsliv 29. desember 2018.
20. juli i år trådte de nye personvernreglene i kraft. Dette gir oss en helt nye måte å tenke personvern på. Grunnen er ganske enkelt at personvernverdenen ser annerledes ut nå enn for bare noen få år siden. Alt er digitalisert, og alt kan deles, gjenbrukes, analyser og deles på nytt. Bruk av algoritmer og kunstig intelligens vil fase mennesker ut av stadig flere beslutning, det være seg innvilgelse av en lånesøknad, en trygdesøknad eller lengden på en fengselsstraff. Vi er helt i starten på den kunstige intelligensens tidsalder, men må være klar over hva vi egentlig gjør: Vi delegerer myndighet til å treffe viktige beslutninger til en maskin.
Riktig bruk av data
Det gamle personvernet handlet om konsesjoner fra Datatilsynet og minst mulig registrering og deling av data. Personvern var noe man puttet på helt på slutten når en virksomhet lansert en ny tjeneste, og det var gjerne noe som teknologer holdt på med. Dette er annerledes nå. Folk har en forventning om at dataene deres blir brukt. Selv om det fortsatt er viktige å minimalisere mengden registrerte data og begrense delingen, har det liten mening å snakke om ikke å registrere og dele data når vi gjør 3,5 millioner søk på Google og sender 1,8 millioner snapper hvert minutt. I stedefor ingen bruk av data, snakker vi nå om riktig bruk og riktig deling av data.
Personvern er et lederansvar
Det er et krav at personvern skal være med i utviklingsprosessen helt fra starten av. I prinsippet om innebygd personvern møtes virksomhetens ønske om å bruke data med virksomhetens plikt til å følge regelverket og den enkeltes forventning om at data blir brukt. Det er viktige å utvikle løsninger som skaper en vinn-vinn – situasjon. Vi ser at der er mulig å få til, men det krever vilje og forankring på høyeste nivå i ledelsen. Personvern hører ikke lenger hjemme i datarommene, men i styrerommene og på direktørens kontor.
I stedet for ingen bruk av data, snakker vi nå om riktig bruk og riktig deling av data.
Ekstra sentral er det å utrede konsekvensene for personvernet. La oss ta et eksempel. Nå utredes en ny helseanalyseplattform, som skal gi bedre og sikrere tilgang til helsedata. Disse dataene vil samles inn fra en lang rekke kilder, som for eksempel helseregistre, biobanker og helseundersøkelser. Dataene skal brukes til blant annet analyse, forskning og innovasjon, og ambisjonen er at analyseplattformen på sikt også skal innpodes kunstig intelligens, algoritmer og såkalt prediktive analyser.
Formålet er utvilsomt det beste, men hva med konsekvensene? Å legge konkrete fordeler med plattformen i den ene vektskålen, og ulempene i den andre, er en relativt enkel øvelse. Men etter det nye regelverket må utredningen gå dypere. Det må stilles spørsmål om hva en så stor mengde data samlet på ett sted, om fem millioner mennesker, betyr for våre rettigheter og frihet.
Man må stille en rekke grunnleggende spørsmål om en slik løsning som helseanalyseplattformen:
- Krenker den retten til privatliv?
- Utfordrer den kommunikasjonsvernet, ytringsfrihet og tankefrihet?
- Utfordrer den forbudet mot diskriminering?
Økning i avvik
Vi har gjort oss noen erfaringer siden regelverket trådte i kraft. Særlig påfallende er den enorme økningen i antall avvik som meldes inn. I 2015 mottok vi 86 avviksmeldinger, før årets slutt vil antallet være opp mot 1300. Et høyt tall, men samtidig viser det også at bevisstheten om behandling av persondata er økende. Norske virksomheter har etablert systemer som kan fange opp feil, og vilje til å lære av dem. Det er for tidlig å gi noen uttømmende analyse av hva slags feil som begås, men foreløpige erfaringer viser at menneskelige feil og mangel på rutiner utgjør brorparten. Her vil vi kommer tilbake med mer presise analyser etter hvert.
I 2015 mottok vi 86 avviksmeldinger, før årets slutt var antallet opp mot 1300.
Vi mottar også flere klager fra forbrukere som mener sine personvernrettigheter krenket. Det viser at regelverket virker, og at folk bruker de nye rettighetene loven gir dem. Mer overraskende er det at vi så langt har mottatt svært få begjæringer om forhåndsdrøftelser, som er en forpliktelse til å drøfte behandlinger med høy risiko med Datatilsynet. Det igangsettes forskningsprosjekter, etableres registre, lanseres apper som behandler store mengder data og i mange norske virksomheter er opplysningene om kunden den virkelige motoren i driften. Det er vanskelig å tro at ikke en del av disse behandlingene burde vært forhåndsdrøftet med oss. Kanskje klarer norske virksomheter å redusere risikoen og iverksette tiltak som gjør forhåndsdrøftelser unødvendig? De foreløpige undersøkelsene vi har gjort gir imidlertid grunn til en viss bekymring.
Personvernforordningen setter ny standard for digitale tjenester
(Artikkelen sto opprinnelig på trykk i Dagens Næringsliv 14. juni 2018) Hvis du har tatt turen innom nettsiden til New York Times de siste ukene, har du kanskje lagt merke til at annonsene er borte. Annonsen for bilpakken på Color Line og andre reklamer som pleier å...
les mer
Personvernlovgivningen er 40 år
Lørdag 9. juni er det 40 år siden personregisterloven ble vedtatt i Stortinget. Bakgrunnen for at denne loven kom, var at utviklingen av «databanker» i det offentlige skapte bekymring. Man så en utstrakt registering av enkeltmenneskers og gruppers adferd. I en...
les mer
Legers feilrapportering gir alvorlige konsekvenser for pasientens personvern
Av Grete Alhaug og Veronica Jarnskjold Buer. NRK Brennpunkt viste 2. mai hvordan pasienter opplever seg misbrukt fordi leger feilrapporter til Helfo for å oppnå økonomisk gevinst, på deres bekostning. Pasienten sitter igjen med en journal som ikke svarer til...
les mer
Hvorfor er personvern viktig for kommunikatører?
I mai 2018 får vi nye personvernregler. Dette er den største utviklingen på personvernfeltet på neste 20 år. Og det er jammen på tide. Hverdagen vår er svært annerledes enn i 2001, da dagens personopplysningslov trådte i kraft. Hvordan treffer så det nye regelverket...
les mer Tre ting vi kan lære av Facebook-skandalen
Ny lov vil tvinge frem større åpenhet om hvordan våre data samles inn og brukes. (Artikkelen sto opprinnelig på trykk i Dagens Næringsliv 20. april 2018) Forrige uke satt en av verdens rikeste og mektigste menn skolerett i det amerikanske Senatet. Spørsmålet fra en av...
les mer
Facebook er i hardt vær – men er det noe nytt?
Cambridge Analytica-skandalen har åpnet øynene til mange. Facebook-brukere er usikre på om de kan stole på nettsamfunnet. Facebook på sin side bedyrer at dette var en tabbe som nå er reparert og at brukerne kan føle seg trygge i fremtiden. I tillegg slapp nettopp...
les mer
Opplæringen i digital dømmekraft er altfor tilfeldig
For at de unge skal bli trygge nettbrukere, trenger de å utvikle digital dømmekraft. Dessverre er det store forskjeller fra kommune til kommune, fra skole til skole – til og med fra klasse til klasse – hvilken opplæring elevene får. En sentral del av opplæringen i...
les mer Hva vet de om deg?
Hvor mye lagrer fire helt vanlige, norske virksomheter om kundene sine? To testpersoner har brukt innsynsretten for å finne det ut. Jeg snakker med mange enkeltpersoner og virksomheter i løpet av et år. Noen trenger veiledning om loven, noen mener Datatilsynet ikke...
les mer Autoritær Intelligens
Med tilgang til enorme datamengder - og få restriksjoner på hvordan disse kan utnyttes - tar Kina nå ledertrøyen i kappløpet om utviklingen av kunstig intelligens. (artikkelen sto på trykk i Dagens Næringsliv 15. februar 2018) Kina har vokst frem som et gigantisk...
les mer
Vi trenger en ny IKT-sikkerhetsstrategi
Regjeringen la i juni 2017 frem stortingsmeldingen IKT-sikkerhet – Et felles ansvar. For å følge opp denne er det satt i gang et arbeid med en ny nasjonal strategi, med tilhørende handlingsplaner. Disse skal erstatte Nasjonal strategi for informasjonssikkerhet og...
les mer
Siste kommentarer